ホワイトペーパー セキュリティ総論 【マンガ】「WAF」はなぜ、サイバー攻撃に有効?いまさら聞けない基本をおさらい! 【マンガ】「WAF」はなぜ、サイバー攻撃に有効?いまさら聞けない基本をおさらい! 2022/11/02 近年、サイバー攻撃は増加の一途を遂げ、過去10年間で45倍にも増えている。その中でも多数を占めているのがWebに関する脅威だ。それらに対し、企業がどのようなサイバーセキュリティ対策を実施すべきか、マンガ形式でまとめたのが本資料だ。具体的に、これらの攻撃がユーザーや企業にどのような被害を及ぼすのか、昨今のサイバーセキュリティを取り巻く状況、また、それらに対し有効なWebセキュリティ対策の1つ「WAF(Web Application Firewall)」についての詳細など、イメージキャラクターのWAF(ワフ)くんがわかりやすく解説する。
ホワイトペーパー セキュリティ総論 【マンガ】Webサイトから漏れる個人情報…「SQLインジェクション」攻撃とは? 【マンガ】Webサイトから漏れる個人情報…「SQLインジェクション」攻撃とは? 2022/11/02 SQLインジェクションはWebサイト・アプリケーションの脆弱性を狙ったサイバー攻撃の1つである。SQLとはデータベースを操作するための言語で、攻撃者はユーザーIDやパスワードを入力するフォームなどに不正なSQL文を注入して、個人情報やパスワードを盗み取っていく。昨今、この攻撃が増加傾向にあり、2022年4月に検出されたサイバー攻撃の中で最も多く、全体の18.9%を占めるほどだ。本書は、SQLインジェクションについての詳細や、被害リスクを減らす方法、最適なセキュリティ対策となる「WAF(Web Application Firewall)」について、マンガ形式で解説する。
記事 セキュリティ総論 日本ハッカー協会代表が解説、ランサムウェアによる「サプライチェーン攻撃」を防ぐには 日本ハッカー協会代表が解説、ランサムウェアによる「サプライチェーン攻撃」を防ぐには 2022/10/31 サプライチェーンの脆弱性を狙ったランサムウェア攻撃が世界中で拡大している。米国では、石油会社やソフトウェアサプライチェーン、日本では、さまざまな企業のサプライチェーンが攻撃された。サプライチェーンを狙った攻撃は、関連企業が多数にわたるため、被害が大きくなりやすいが、我々はこの攻撃にどう対策すべきか。OSINTを使った有用な対策について、日本ハッカー協会代表理事の杉浦隆幸氏に聞いた。
ホワイトペーパー ゼロトラスト・クラウドセキュリティ・SASE 従業員の「不適切」なWebサイトアクセスを低コストかつ簡単にシャットアウトする方法 従業員の「不適切」なWebサイトアクセスを低コストかつ簡単にシャットアウトする方法 2022/09/28 昨今、テレワークの導入が急速に拡大したことで、企業側が従業員に貸与しているデバイスにおける不適切なWebサイト利用が問題視されつつある。ウイルス感染やハッキングなどのリスクが懸念されており、それらを回避するためにも最適なデバイス管理が求められる。しかし管理が煩雑になり、膨大な運用コストがかかってしまうようでは導入は難しい。以下の資料では、より細かく柔軟な制御設定を低コストで可能にし、さらに管理側の負荷を簡素化できる最適なデバイス管理の実現方法を紹介する。
記事 ゼロトラスト・クラウドセキュリティ・SASE クラウドのセキュリティ対策の4ステップをガートナーが解説、ツールはどう使い分け? クラウドのセキュリティ対策の4ステップをガートナーが解説、ツールはどう使い分け? 2022/09/06 クラウド利用が拡大する中、セキュリティ対策は企業経営にとっての最優先課題の1つと位置付けられまでになった。背景には、従来からのアプローチでは対応しきれないセキュリティ・リスクが生じていることがある。企業はクラウド・セキュリティへの対応をどう推し進めるべきなのか。クラウドセキュリティへの具体的な取り組み方、CASBやCSPM、CWPPなど無数にあるツール/ソリューションの使い分け方など、ガートナー シニア ディレクター,アナリストのチャーリー・ウィンクレス氏が解説する。
ホワイトペーパー セキュリティ総論 リテールバンキングの金融イノベーションを実現、4つの最新サイバーセキュリティ戦略 リテールバンキングの金融イノベーションを実現、4つの最新サイバーセキュリティ戦略 2022/08/29 金融市場の変化に対応するため、リテールバンキング(個人や中小企業を対象とした小口金融業務)ではテクノロジーへの投資が積極的に行われている。だが、デジタル技術の急速な普及はサイバー脅威のリスクも高めることになる。最新のデジタルバンキングを成功させるには、4つの最新サイバーセキュリティ戦略が必要となる。本書は、それら4つの戦略についての詳細や、リテールバンキングが安全にイノベーションを起こすことを可能とする統合プラットフォームについて解説する。
ホワイトペーパー セキュリティ総論 拡大する金融DXの波、変革迎える金融業界に不可欠なサイバーセキュリティ対策とは 拡大する金融DXの波、変革迎える金融業界に不可欠なサイバーセキュリティ対策とは 2022/08/29 銀行への来店客数減少、低金利による収益圧迫、異業種の参入など、金融機関は大きな変革期を迎えている。これらを克服するため、金融DX(デジタルトランスフォーメーション)の推進が銀行業界だけでなく、さまざまな金融サービス業にまで波及している。これに合わせて、サイバー攻撃の対象領域も急速に拡大しているため、金融機関は複雑化するITインフラに柔軟に適応していく強靭性の高いセキュリティ対策を実行する必要がある。本書は、金融機関が備えるべき具体的なセキュリティ対策やソリューションについて解説する。
記事 セキュリティ総論 実例で分かる「自己学習型AI」のスゴい効果、未知の脅威も“たった数秒”で自動排除 実例で分かる「自己学習型AI」のスゴい効果、未知の脅威も“たった数秒”で自動排除 2022/08/05 サイバー攻撃による被害が後を絶たない。ランサムウェアをはじめとした攻撃は技術の高度化と手口の巧妙化を続け、今や従来のセキュリティ対策では防御しきれなくなっている。そこで最近注目されているのが、自己学習型AI技術の活用だ。従業員などによるITツールの利用パターンを、教師なし機械学習をすることで、その学習したパターンに逸脱した行為を危険とみなし、自動的に察知・排除する。今回はそのメカニズムや動作、効果について、新種のランサムウェアやサプライチェーン攻撃を未然に阻止した実例を交えて紹介しよう。
ホワイトペーパー M&A・出資・協業・事業承継 M&A件数は過去最大を記録、コラボレーションを効率化してライバル企業に差を付ける方法とは M&A件数は過去最大を記録、コラボレーションを効率化してライバル企業に差を付ける方法とは 2022/07/25 2021年は世界のM&A(買収と統合)が過去最大の取引件数を記録するなど活況だった。今後もM&Aを行う企業が増える中、買収対象となる企業の複数の取引相手先を調査する能力や、スピード感のあるディールなどを遂行する能力が必要とされる。中でも、機密性の高い情報を共有することから、取引の安全性を確保するためのセキュリティ対策は特に重要となる。本書は、M&Aを成功させるポイントやセキュアなM&Aコラボレーション環境の構築手法などを解説する。
記事 セキュリティ総論 三大侵入経路「メール・Web・VPN」ももう安心、エンドポイントを守る新手法とは? 三大侵入経路「メール・Web・VPN」ももう安心、エンドポイントを守る新手法とは? 2022/07/22 企業でのDX(デジタルトランスフォーメーション)に向けた取り組みやクラウド活用が進む一方で、サイバー攻撃の技術が高度化・複雑化し、被害件数も増えている。デジタル化により業務利便性を高めたいと考えるものの、セキュリティ強化に頭を抱えている企業は多い。本稿では、昨今のサイバー攻撃の具体的な侵入経路とその攻撃手法、そして脅威を侵入させないための新たなセキュリティアプローチについて解説する。
ホワイトペーパー セキュリティ総論 不正アクセス被害は約3倍に…パブリッククラウドのセキュリティ対策はどうする? 不正アクセス被害は約3倍に…パブリッククラウドのセキュリティ対策はどうする? 2022/07/21 クラウドの利用が広まるとともに、不正アクセスやサイバー攻撃などの脅威も増大化しており、情報処理推進機構(IPA)の調査によると、2021年にはクラウドサーバを標的とした不正アクセスの被害は前年の約3倍にも増えている。また、昨今では脆弱性や設定ミスなどに起因するセキュリティ事故も多数発生しているという。テレワークやDX推進などからクラウドの利用が加速しているが、クラウド事業者が提供しているサービスとはいえ、ユーザー企業には十分なセキュリティ対策が求められる。IT環境の複雑化や人材不足などの課題が立ちはだかる中、企業はどのような対策を実施すべきだろうか。
ホワイトペーパー セキュリティ総論 「次世代WAF」10の特徴、従来型のWAFとは何が違うのか? 「次世代WAF」10の特徴、従来型のWAFとは何が違うのか? 2022/06/30 マルチ/ハイブリッドクラウド環境でのコンテナ開発など、ありとあらゆる状況でアプリケーションがデプロイされ、開発環境が進化する中、それらを標的としたサイバー攻撃が増え続けている。その対策として有効なのが、その名の通りWeb上のファイアウォールである「WAF(Web Application Firewall)」だ。サーバへの負荷を軽減させ、WebアプリケーションやAPIを保護し、開発者や運用チームのパフォーマンスを維持する。本書は、従来型のWAFでは対応できなかった未知の脅威を特定し、ブロックすることが可能となる、次世代WAFの10の特徴を解説する。
ホワイトペーパー セキュリティ総論 DeNA事例:いかにWAFのパフォーマンスを改善し、運用コストも削減したのか? DeNA事例:いかにWAFのパフォーマンスを改善し、運用コストも削減したのか? 2022/06/30 ゲームやライブストリーミングなどのエンターテインメント事業や、ECなどを手がけるディー・エヌ・エー(DeNA)では、顧客に高品質なデジタルエクスペリエンスを提供するため、Webセキュリティ対策についても力を入れていた。そのため同社では、ハードウェア型のWAF(Web Application Firewall)を運用していたが、トラフィックスパイク時での管理ポータルの読み込みが遅く、問題に迅速に対処することができずにいた。また、WAFが正常に機能していない時にはユーザーのリクエストを再ルーティングすることもできず、レスポンス時間が長いことや、運用コスト高が課題となっていた。本書は、同社がWAFのパフォーマンス改善やコスト削減をどのようにして実現したか解説する。
ホワイトペーパー セキュリティ総論 WAFの落とし穴「隠れたコスト」とは? コスト削減に役立つ重要な3つのポイント WAFの落とし穴「隠れたコスト」とは? コスト削減に役立つ重要な3つのポイント 2022/06/30 Webアプリケーションへの脅威が増える中、多くの企業がセキュリティ対策にWAF(Web Application Firewall)を採用している。さまざまなWAF製品の中から選ぶ時に注意しておきたいのが「隠れたコスト」の存在だ。WAFベンダーを評価する際、明確にされていない隠れたコストが多く存在することが判明し、結果として当初の想定よりもWAFのコストが大幅に増大するというケースも少なくない。本書は、コストを大幅に削減するため、WAF製品を評価する際に考慮すべき3つのポイントと、隠れたコストを削減するWAFについて解説する。
ホワイトペーパー セキュリティ総論 急増する「アカウント乗っ取り」、攻撃の手口と対策を解説 急増する「アカウント乗っ取り」、攻撃の手口と対策を解説 2022/06/30 アカウント乗っ取り(ATO)攻撃が急激に増加しており、多くの組織が影響を受けている。ATO攻撃とは、アクティブなユーザーアカウントを標的とし、サービスの中断や広範囲にわたるアカウントのロックアウトを引き起こして顧客がサービスを利用できないようにするというものだ。組織は財務上の損失だけでなく、顧客の信頼の喪失や顧客の機密データの漏えいなどのリスクにも晒されている。ATO攻撃からアプリケーションを保護するには、認証プロセスの実装と機密性の高いアプリケーションロジックが必要となる。本書は、アカウントの乗っ取りがどのように行われるのか、また、企業はどのように対策を取るべきか解説する。
記事 情報漏えい対策 罰金が1億円に。個人情報保護法の改正ポイントと企業が今できる対策 罰金が1億円に。個人情報保護法の改正ポイントと企業が今できる対策 2022/06/24 企業を標的にしたサイバー攻撃は、ますます深刻化している。セキュリティ対策の進んでいない中小企業を狙った攻撃が増加するなど、企業規模に関係なく被害は広がっている。そして、その手口は多角化かつ巧妙化しており、企業は早急なセキュリティ対策が必要だ。こうした状況に加えて、2022年4月から改正個人情報保護法が施行された。セキュリティ対策に加えて法改正への対応も迫られる。ここでは、個人情報保護法の改正のポイントと、その対応方法を整理し、特に中小企業に最適なセキュリティ対策を解説する。
記事 セキュリティ総論 「侵入が前提」の今、サイバー攻撃者が狙うのは「ファームウェアの脆弱性」なワケ 「侵入が前提」の今、サイバー攻撃者が狙うのは「ファームウェアの脆弱性」なワケ 2022/05/18 サイバーセキュリティの世界においては、常に攻撃と防御のいたちごっこが繰り広げられてきた。攻防を繰り返す中で、昨今のサイバー攻撃者が目を付け始めたのが、さまざまな機器にあらかじめ搭載されている「ファームウェア」の脆弱性だ。ファームウェアの脆弱性を突かれるとどのようなリスクがあり、防御側はどのような対策を検討すべきなのだろうか。
ホワイトペーパー ゼロトラスト・クラウドセキュリティ・SASE ココナラなど5社事例集:負担の大きいパブリッククラウドのWAF運用、自動運用で軽減するには? ココナラなど5社事例集:負担の大きいパブリッククラウドのWAF運用、自動運用で軽減するには? 2022/05/17 クラウドの普及が広がる昨今、従来のファイアウォールだけではWebアプリケーション層への攻撃を防ぐことが難しくなっているまた、AWSやAzureなどのパブリッククラウドのセキュリティ対策はすべて、サービス提供者側 (AWSやAzure側)が対応してくれると思われがちだが、サービス利用者がセキュリティ対策をしなければならない範囲が明確に決められていることはご存じだろうか。そこで活用できるのがパブリッククラウド付随のWAF(Web Application Firewall)だが、運用の負担が大きいという理由から活用が進まない企業も多い。本書では、日本最大級のスキルフリマのココナラや、学校向けクラウドサービスを手がけるClassi(クラッシー)など、パブリッククラウドWAF運用課題を克服した5社の事例を紹介する。
ホワイトペーパー ゼロトラスト・クラウドセキュリティ・SASE AWS WAFの複雑な運用の課題を解決、Azureにも対応した自動運用術 AWS WAFの複雑な運用の課題を解決、Azureにも対応した自動運用術 2022/05/17 クラウドサービスでECサイトの運営やWebサービスの提供を行う上で欠かせないのが、WAF(Web Application Firewall)を用いたWebセキュリティ対策だ。中でもAWS(Amazon Web Service)ユーザーの多くは安価で使い勝手の良い「AWS WAF」の利用を試みるものの、スキル不足や運用の負担が大きいという課題に陥るケースも少なくない。本書は、これら「AWS WAF」の課題を解決するだけでなく、AWS同様によく利用されるMicrosoft Azureにも対応した自動運用ツール「WafCharm」について紹介する。
ホワイトペーパー セキュリティ運用・SOC・SIEM・ログ管理 SIEMとEDRの違いを分かりやすく解説、「どちらが優れているか」の議論は無意味なワケ SIEMとEDRの違いを分かりやすく解説、「どちらが優れているか」の議論は無意味なワケ 2022/04/04 SIEM(Security Information and Event Management)は、セキュリティ情報の分析・収集とイベント管理を行う約15年の歴史を持つソリューションである。一方、EDR(Endpoint Detection and Response)は、エンドポイントでの怪しい動きを監視・検知する新しいソリューションである。いずれも、セキュリティに関連する情報を監視・収集することは共通している。このため、最近は「SIEMとEDRではどちらが優れているか」といった議論も散見されるようだ。しかし、こうした議論にあまり意味はない。両者は、もともと相互補完的な関係にあり、二者択一で選ぶべきものではないからだ。本資料では、「ITセキュリティ=SIEM」「サイバーセキュリティ=EDR」という観点から、SIEMとEDRの違いについて分かりやすく解説する。両者の違いを体系的に理解するには、最良の資料となっている。
ホワイトペーパー セキュリティ総論 DeNA事例:いかにWAFのパフォーマンスを改善し、運用コストも削減したのか? DeNA事例:いかにWAFのパフォーマンスを改善し、運用コストも削減したのか? 2022/03/23 ゲームやライブストリーミングなどのエンターテインメント事業や、ECなどを手がけるディー・エヌ・エー(DeNA)では、顧客に高品質なデジタルエクスペリエンスを提供するため、Webセキュリティ対策についても力を入れていた。そのため同社では、ハードウェア型のWAF(Web Application Firewall)を運用していたが、トラフィックスパイク時での管理ポータルの読み込みが遅く、問題に迅速に対処することができずにいた。また、WAFが正常に機能していない時にはユーザーのリクエストを再ルーティングすることもできず、レスポンス時間が長いことや、運用コスト高が課題となっていた。本書は、同社がWAFのパフォーマンス改善やコスト削減をどのようにして実現したか解説する。
ホワイトペーパー セキュリティ総論 急増する「アカウント乗っ取り」、攻撃の手口と対策を解説 急増する「アカウント乗っ取り」、攻撃の手口と対策を解説 2022/03/23 アカウント乗っ取り(ATO)攻撃が急激に増加しており、多くの組織が影響を受けている。ATO攻撃とは、アクティブなユーザーアカウントを標的とし、サービスの中断や広範囲にわたるアカウントのロックアウトを引き起こして顧客がサービスを利用できないようにするというものだ。組織は財務上の損失だけでなく、顧客の信頼の喪失や顧客の機密データの漏えいなどのリスクにも晒されている。ATO攻撃からアプリケーションを保護するには、認証プロセスの実装と機密性の高いアプリケーションロジックが必要となる。本書は、アカウントの乗っ取りがどのように行われるのか、また、企業はどのように対策を取るべきか解説する。
ホワイトペーパー セキュリティ総論 最先端ソフトウェアチームがアプリ保護で選ぶ、「次世代WAFとRASP」10の主要機能 最先端ソフトウェアチームがアプリ保護で選ぶ、「次世代WAFとRASP」10の主要機能 2022/03/23 リリースサイクルの高速化や新しい言語やクラウドプラットフォームの採用など、アプリケーション開発の状況が発展していく中で、ソフトウェアチームは急速に拡大するWeb攻撃の対象領域を保護するべく日々格闘している。その支えとなるソリューションとして、Webアプリケーションのファイアウォールである「WAF」と、ランタイム環境でのアプリケーションを脅威から守る「RASP」が挙げられる。本書は、最先端のソフトウェアチームが、Webアプリケーションを保護するセキュリティとして選ぶ、次世代WAFとRASPテクノロジーの10の主要機能について解説する。
ホワイトペーパー セキュリティ総論 WAFの落とし穴「隠れたコスト」とは? コスト削減に役立つ重要な3つのポイント WAFの落とし穴「隠れたコスト」とは? コスト削減に役立つ重要な3つのポイント 2022/03/23 Webアプリケーションへの脅威が増える中、多くの企業がセキュリティ対策にWAF(Web Application Firewall)を採用している。さまざまなWAF製品の中から選ぶ時に注意しておきたいのが「隠れたコスト」の存在だ。WAFベンダーを評価する際、明確にされていない隠れたコストが多く存在することが判明し、結果として当初の想定よりもWAFのコストが大幅に増大するというケースも少なくない。本書は、コストを大幅に削減するため、WAF製品を評価する際に考慮すべき3つのポイントと、隠れたコストを削減するWAFについて解説する。
ホワイトペーパー セキュリティ総論 サイバー脅威の最新動向を解説、実行すべきサイバーセキュリティ「4つのポイント」 サイバー脅威の最新動向を解説、実行すべきサイバーセキュリティ「4つのポイント」 2022/03/09 サイバー脅威は依然として新たな攻撃が作り出されており、その数も増加を続ける一方である。企業には日々巧妙化していく脅威への対応が求められるが、多くの場合、変化を続ける脅威に対して注力できる人材や時間などのリソースが不足しており、セキュリティ対策にまで手が回らない状況だ。本書は、昨今の脅威の傾向についてまとめており、また、それらに対して今必要となるサイバーセキュリティ4つのポイントやソリューションについて解説する。
記事 セキュリティ総論 ハッカーが企業を狙う、意外な“目的”とその手法とは ハッカーが企業を狙う、意外な“目的”とその手法とは 2022/02/21 近年、企業のWebサイトを狙ったサイバー攻撃が増加傾向にある。今やWebサイトを持つすべての企業は、常に見えない脅威にさらされていると言って良い。一方、多くの企業はサイバー攻撃の具体的なイメージがつかめないまま、対策が後手に回っている状況だ。攻撃者は何を目的に、どのような手口で企業から情報を盗み取るのか。攻撃者の「目的と行動」を明らかにしながら、どのような対策を講じるべきかを解説したい。
記事 セキュリティ総論 ラックに聞く“ゼロトラスト”、戦略立案に必要な「3つのフェーズ」「4つのステップ」とは ラックに聞く“ゼロトラスト”、戦略立案に必要な「3つのフェーズ」「4つのステップ」とは 2022/01/26 コロナ禍で働き方は一変し、“集合/フィジカル”から“分散/デジタル”へと行動様式は変容した。それに伴いサイバー攻撃の脅威が変容・拡大し、従来の境界型セキュリティからゼロトラストへと変革が必須の命題となっている。しかし、ゼロトラストは単一の製品(技術)で完結しないため、複数の製品(技術)を自社に最適な形で組み合わせて構築する必要がある。実現に欠かせないのが「拡張ゼロトラスト」というコンセプトだ。
記事 セキュリティ総論 専門家が教えるゼロトラストのインパクト、「信頼しない」ことでビジネスはこう変わる 専門家が教えるゼロトラストのインパクト、「信頼しない」ことでビジネスはこう変わる 2022/01/26 働き方改革やコロナ禍でテレワークが浸透したこともあり、企業のネットワークセキュリティ対策は境界防御型からゼロトラスト型へ進化しつつある。ゼロトラスト型アーキテクチャは従業員のワークスタイルを変化させ、企業システムやビジネスのやり方をも変革するとされる。ITコストの最適化、ITリスクマネジメントの専門家であるアイ・ティ・アール(ITR)の藤 俊満氏が、仕事のやり方を改革し、企業の競争優位性にもつながるゼロトラストの可能性を語った。
記事 セキュリティ総論 最新事例から読み解くAIセキュリティの実力、ランサムウェアから企業をどう守るのか? 最新事例から読み解くAIセキュリティの実力、ランサムウェアから企業をどう守るのか? 2022/01/20 ランサムウェア攻撃の被害が世界的に拡大し、いまだ終息の見通しは立っていない。企業は自衛を徹底するほかないが、セキュリティ人材や予算など、限られたリソースで完璧な防御は難しい。今回は、人間に代わってAIが攻撃者の侵入や、異常な振る舞いを察知して防ぐ最新のサイバーセキュリティを紹介する。ゼロデイ攻撃を阻止した最新の実例を元に、いかにAIが防御を効率化できるかを考えたい。
記事 セキュリティ総論 Log4jが突きつけた認めたくない現実、「あらゆる脆弱性の排除はできない」 Log4jが突きつけた認めたくない現実、「あらゆる脆弱性の排除はできない」 2022/01/12 セキュリティ界隈のみならず、久々にNHKニュースや一般紙にもとりあげられた「Apache Log4j」の脆弱性。Heartbleedやシェルショックにも匹敵する最悪の脆弱性とも言われている。技術視点でみてもまさにそのとおりなのだが、問題の本質はそこだけではない。枯れたシステムに潜む脆弱性はインパクトが大きい傾向がある。それはなぜか? そして、我々はソフトウェアのバグや脆弱性について本当に理解しているのか? 改めて考えてみたい。
